Rsyslog中Outchannel执行外部命令的权限问题分析与解决方案

问题背景

在使用Rsyslog的Outchannel功能时，许多用户会遇到"Permission denied"错误，特别是在配置action-on-max-size参数时。这个问题在Ubuntu 24.04系统上尤为常见，当尝试在日志文件达到指定大小时执行外部命令时，系统会拒绝执行。

问题现象

当配置类似以下的Outchannel规则时：

$outchannel sizedsyslog,/var/log/syslog,31457000,echo test

系统日志中会出现如下错误：

exec: Permission denied
exec program was 'echo' with param 'test'

根本原因分析

经过深入调查，发现这个问题由多个因素共同导致：

1. 系统权限限制：即使将相关二进制文件(如/usr/bin/echo)设置为777权限，Rsyslog仍无法执行
2. AppArmor安全策略：Ubuntu系统默认启用的AppArmor会对Rsyslog进程的执行权限进行限制
3. 系统环境差异：通过systemd启动的Rsyslog进程与手动执行的环境存在差异
4. 用户上下文：Rsyslog通常以syslog用户身份运行，权限受限

解决方案

方案一：简单命令执行

对于简单的命令执行需求，可以按照以下步骤配置：

1. 确保使用完整路径指定命令：

$outchannel sizedsyslog,/var/log/syslog,1000000,/usr/bin/echo test

2. 调整AppArmor策略，在/etc/apparmor.d/usr.sbin.rsyslogd中添加：

/usr/bin/echo ix,

3. 重新加载AppArmor配置：

sudo systemctl reload apparmor

方案二：集成Logrotate实现日志轮转

更实用的场景是在日志达到大小时自动触发日志轮转，配置步骤如下：

1. 修改AppArmor策略文件/etc/apparmor.d/usr.sbin.rsyslogd，添加：

/usr/sbin/logrotate ix,
/usr/bin/gzip ix,
/usr/bin/dash ix,
/etc/logrotate.d/rsyslog kr,
/var/lib/logrotate/status kwr,
/var/lib/logrotate/status.tmp wr,

2. 设置正确的文件和目录权限：

sudo chown -R root:adm /var/lib/logrotate
sudo chmod -R g+w /var/lib/logrotate
sudo chown root:adm /usr/sbin/logrotate
sudo chmod g+x /usr/sbin/logrotate

3. 配置Rsyslog使用Logrotate：

$outchannel sizedsyslog,/var/log/syslog,1000000,/usr/sbin/logrotate /etc/logrotate.d/rsyslog
*.*;auth,authpriv.none :omfile:$sizedsyslog

安全注意事项

1. 生产环境中应谨慎放宽权限，仅允许必要的命令执行
2. 建议为Logrotate创建专用的AppArmor配置文件，而非直接修改Rsyslog的配置
3. 定期审查日志和权限设置，确保系统安全
4. 考虑使用专用用户而非syslog用户来执行敏感操作

技术原理

Rsyslog的Outchannel功能在文件达到指定大小时会fork一个新进程来执行指定命令。在Linux系统中，这个过程受到多重安全机制的限制：

1. 传统Unix权限：检查用户/组对二进制文件的执行权限
2. AppArmor/SELinux：强制访问控制(MAC)系统会限制进程的能力
3. 系统调用过滤：某些系统可能会限制特定系统调用的使用

通过合理配置这些安全层，可以在保证系统安全的前提下实现日志自动管理功能。

总结

Rsyslog的Outchannel功能与外部命令集成时，需要综合考虑系统权限、安全策略和运行环境等多方面因素。通过本文提供的解决方案，用户可以有效地实现基于事件触发的日志管理功能，同时保持系统的安全性。在实际应用中，建议根据具体需求选择最适合的配置方案，并定期进行安全评估。